旁挂方式部署SRX3400网络实现方案资料.docxVIP

旁挂方式部署SRX3400网络实现方案目前按照设计要求，需要把Juniper防火墙SRX3400以旁挂的方式部署在平台核心交换机上，如图（一）、为实现外网经过防火墙可以远程访问平台的跳板机，从跳板机跳转到内网的网管服务器和采集数据，可以按照以下两种方式部署。将跳板机做目的地址映射1、把防火墙的外网子接口和内网子接口划分成两个不同的安全域zone。2、将内网的需要被外网访问的跳板机做目的地址翻译NAT。3、通过安全策略打开外网访问跳板机的远程桌面端口，跳板机通过交换机进行跳转到相应的服务器，从而实现远程连接跳板机对平台内网的网管服务器和采集数据。防火墙做VPN远程连接通过防火墙VPN来实现远程连接到内网，从而远程访问跳板机，通过跳板机进行对内网的服务器进行管控，以及采集数据。SRX IPSEC VPN 支持 Site - to - Site VPN 和基于NS - remote的拨号VPN， 和 ScreenOS 一样， site - to - site VPN 也支持路由模式和 Policy模式， 在配置方面也和ScreenOS 基本一致 。（二）为实现外网经过防火墙可以远程访问内网的网管服务器和采集数据将需要管理的服务器群在防火墙直接进行映射到外网，通过外网地址进行访问内网服务器以及采集数据把防火墙的外网子接口和内网子接口划分成两个不同的安全域zone。外网是通过路由器接入核心交换机，所以需要把防火墙的外接zone与核心接路由的接口划分到同一个二层VLAN中。防火墙内网zone接入内网服务器的VLAN或单独划分VLAN，但需保证与内网VLAN相通。2、将内网的需要被外网访问的服务器群做目的地址翻译3、通过安全策略映射外网访问服务器群的相应的服务端口，从而实现远程对平台内网的网管服务器和采集数据。参考资料SRX安全策略配置介绍安全策略是在SRX 上定义的一系列规则告诉SRX 如何处理在各个安全域(zone) 之间或同一安全域内各个接口之间转发的报文应该如何处理，比如对其进行转发(permit)，丢弃(deny), NAT ，IPsec VPN 加解密, IPS 入侵防御检查或防病毒检查等等。 安全策略配置包含若干要素。 1. 安全域zone配置Zone是共享相同安全级别的一组网络接口的集合。SRX3K/5K 的所有接口默认都放在null zone 内。Null zone是一种系统预定义的特殊的安全域，null zone 内的接口不能接受外界的任何报文，也不能对外发送任何报文，即null zone 内的接口是不参与业务转发的。因此要配置安全策略，必须先创建zone，并把接口分配到相应的 zone 里去 配置举例： 1. 创建安全域zone set security zones security-zone trust set security zones security-zone untrust2. 分配接口到相应安全域zone set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0每个安全域都有自己的一套自定义属性，包括是否允许接受管理流量？接受那些类型的管理流量？是否接受路由信令？接受那些路由信令等？这些都是在[security zone]下面相应 zone的[host-inbound-traffic] 里配置。SRX 自己发出去的流量是不受限制的。 3. 允许trust zone 接受telnet/ssh 管理流量 set security zones security-zone trust host-inbound-traffic system-services sshset security zones security-zone trust host-inbound-traffic system-services telnet 4. 允许trust zone 接受ospf/bgp 路由信令 set security zones security-zone trust host-inbound-traffic protocols ospfset security zones security-zone trust host-inbound-traffic protocols bgp每个zone 还可以定义自己的 DDoS 防护选项，这是通过[Screen] 配置来实现的 5. 定义Screen 的ips-options 模板testset security screen ids-option test i